Patchの概要
Patchを使用して、企業全体のWindowsオペレーティングシステムパッチをTaniumの速度と規模で管理し、迅速に1つのパッチをコンピュータグループに適用できます。高度なルールセットやメンテナンス時間枠を使用して、指定した時間に環境全体にパッチのグループを配信するなど、より複雑なタスクを実行することもできます。
Patchは詳細なレポートを生成し、すべてのエンドポイントから現在の適用可能なパッチリストを返します。パッチまたはパッチリストの配信には、次の詳細情報が含まれます:
- 重要度、リリース日、適用されるCVE (Common Vulnerabilities and Exposures)、
ファイルおよびナレッジベース記事へのリンクなどのパッチの詳細。 - コンピュータグループごとに分割されたパッチの状態。
- 割り当てられたパッチリストまたはそのブラックリスト。
また、カスタムワークフローを定義し、パッチリスト、ブラックリスト、およびメンテナンス時間枠毎に設定されたルールまたは例外に基づいてパッチ配信をスケジュールすることもできます。たとえば、データセンターにあるサーバを除くすべてのコンピュータにクリティカルなMicrosoftのパッチを適用したり、.NETパッチを常に除外したり、勤務時間外にパッチをインストールしたりすることができます。
パッチスキャンオプション
いくつかのスキャン方法から選択して、ネットワーク上のインストールされたパッチと不足しているパッチを特定することができます。スキャン構成はEnforcementと呼ばれ、スキャン方法、スキャン頻度、スキャンされているコンピュータグループを定義します。1つのスキャン構成がエンドポイントに適用されます。エンドポイントが複数のコンピュータグループに含まれている場合、最優先のスキャン構成が適用されます。
次のスキャンオプションの一覧を確認し、各コンピュータグループに最適な方法を決定します。
| スキャン 方法 |
含まれる 更新 |
クライアントの影響 | 接続性 | 詳細 |
|---|---|---|---|---|
| オフラインCABファイル |
|
スキャン中の変更:中 | CABファイルは、Tanium Clientによってローカルに保存されます。 |
|
| Online to Microsoft |
|
|
Tanium ClientはMicrosoftに直接通信する必要があります。 |
|
| Windows Server Update Services (WSUS) スキャン |
|
低 | Tanium ClientはWSUSサーバに通信する必要があります。 |
|
WSUSサーバでMicrosoft System Center Configuration Manager (SCCM)を使用している場合は、同じサーバでTaniumを使用してWSUSスキャンをしないでください。
パッチリストとブラックリスト
パッチリストに適用可能なパッチを1つのグループとして登録することができます。またブラックリストに除外しなければならないパッチを1つのグループとして登録することができます。これらのリストは、パッチ情報に含まれている詳細によって判断できます。たとえば、次のことができます:
- 重要度に基づいてリストを作成し、最も重要で最新の更新プログラムを最優先で適用します。
- CVEの問題のみに焦点を当てます。
- 月または特定のリリース日に基づいてリストを作成します。
新しいパッチが出てきたら、*動的ルールを使用して自動的に判定し、適切なパッチリストに追加します。新しいバージョンを作成することでこれらのリストを繰り返し作成することができます。必要に応じて、任意のバージョンリストを適用できます。
代替パッチ
各パッチには代替パッチの有無を示すカラムが含まれています。あるパッチが置き換えられたことを1つのエンドポイントが報告すると、そのパッチは代替パッチとしてマークされます。パッチリストに代替パッチのカラムを含めると、代替パッチを見つけたり、インストールしたりする場合に便利です。たとえば、セキュリティ勧告の推奨事項で参照されている場合は、代替パッチを探し、インストールしなければならない場合があります。代替パッチは自動的にブラックリストに含まれます。
Microsoftアップデートとサービスの詳細
2016年10月、Microsoftはエンドポイントのオペレーティングシステムに基づいてソフトウェアパッチの更新方法を変更しました。これらの用語は変更される可能性がありますが、ネットワークにどのように影響するかを認識することが重要です。
- Windows 10およびWindows 2016
- 機能のアップグレード:フィーチャービルドは、基本的にWindows 10の新しいビルド番号です(たとえば、1511、1607、1703)。 これらのアップグレードは3〜4か月ごとに公開されます。現在、Windows 10のビルドのアップグレードは、Taniumによって配布された標準パッケージで完了することができます。
- 2017-XX Cumulative Update (2017-XX累積更新):毎月リリースされている累積的な更新プログラムは、Windows 10の以前の累積的な更新プログラムよりも優先されます。 当月を含む、過去のすべてのセキュリティおよび非セキュリティ修正が含まれます。
- Windows 7、8.1、2008、2008R2、2012、2012R2
- Security Monthly Quality Rollup (2017-XX セキュリティ月例品質ロールアップ): パッケージは、現在および過去の全更新の累積です。 当月のみが適用されます。以前のバージョンはすべて置き換えられています。
- Security Only Quality Update (2017-XX セキュリティのみ品質アップデート):特定の月のみのセキュリティアップデート。 前月の更新は含まれません。 過去の月次の更新プログラムは適用可能で、必要になります。
詳細は次を参照してください。「ブラックリストでパッチを除外する」およびMicrosoftの記事「 簡略化されたサービス」または「Windowsサービスモデル」。
パッチの適用
パッチの適用は通常、リストからパッチをコンパイルしてから、Patchパッケージをターゲットコンピュータに配布します。パッチの適用オプションを構成して、パッチのインストールまたはアンインストールの時期と方法を指定できます。
たとえば、変更を適用するためにパッチがインストールされた後でエンドポイントを再起動するとします。通常はブラックリストにあるが何らかの理由で必要となるパッチが出てきたら、新しいバージョンのブラックリストを作成するのではなく、特定のパッチの適用のためにブラックリストを上書きすることができます。緊急の場合は、閉じたメンテナンス用時間枠を上書きすることもできます。
パッチのインストール後にエンドポイントを再起動するかどうか選択し、ユーザーに再起動を延期することを許可したりすることが可能です。
メンテナンス用時間枠
メンテナンス用時間枠では、対象コンピュータグループへのパッチのインストールもしくはアンインストールを許可する時間を指定します。複数のメンテナンス用時間枠を構成することができます。重複する時間帯でも可能です。メンテナンス用時間枠は相互に干渉しません。パッチが有効化されるには、パッチの適用とメンテナンス時間枠が一致する必要があります。
可能な限りエンドポイントを最新の状態に保つメンテナンスサイクルを確立することを検討してください。優れたウィルス対策運用で、多くのセキュリティリスクを避けることができます。検討事項として、週末やネットワークの業務時間外でMicrosoft Patch Tuesdayのリリース適用を考慮することなどが挙げられます。
この文書には、第三者が提供するコンテンツや製品(ハードウェアおよびソフトウェアを含む)、サービス(「第三者のアイテム」)に対するアクセス手段や、第三者のそうした情報そのものが含まれていることがあります。 Tanium Inc.およびその関連会社は、(i)それらの第三者のアイテムに対して責任を負うものではなく、第三者のアイテムに関するすべての保証および責任を明示的に放棄し、(ii)お客様とTaniumとの間の有効な契約に明記されているのでない限り、かかる第三者のアイテムへのアクセスや、利用に起因する損失、費用または損害について責任を負いません。
また、この文書は、特定の第三者のアイテムの使用やTanium製品との組み合わせを求めるものでも、想定するものでもありません。そのような組み合わせによって生じた知的財産権の侵害について、Taniumおよびその関連会社は一切責任を負いません。第三者のアイテムとTanium製品の組み合わせが適切であるかどうか、また第三者の知的財産権を侵害しないかどうかの判定の責任はTaniumではなくお客様にあります。
最終更新:12/13/20181:39 PM| フィードバック
